浅谈对《网络安全威胁信息发布管理办法(征求意见稿)》的理解

2019年11月20日,中央网信办发布《网络安全威胁信息发布管理办法(征求意见稿)》(以下简称《办法》)。该《办法》出台是落实《网络安全法》的重要举措。

网络安全.jpg

2019年11月20日,中央网信办发布《网络安全威胁信息发布管理办法(征求意见稿)》(以下简称《办法》)。该《办法》出台是落实《网络安全法》的重要举措。《办法》对发布涉及计算机病毒、网络攻击、网络侵入、网络安全事件等可能威胁网络正常运行活动的相关安全威胁信息,以及包括系统漏洞、网络风险等在内的可能暴露网络脆弱性的安全威胁信息,从发布内容、发布流程、发布方法等方面,对研究机构、网络安全厂商、个人研究者,以及信息发布平台运营单位做出了较为具体的规范。《办法》兼顾了既要确保信息发布有利于防范网络安全威胁和风险,推动政企机构和公众了解威胁和风险并进行处置响应,又要避免不当发布引发消极后果。

网络威胁信息发布是网络安全厂商、应急组织、研究机构和个人研究者通过分析研究深入了解威胁,并进行公开信息披露的过程。这些公开披露的信息,是公众和相关人员了解威胁机理、背景、影响面、应对方法等信息的重要来源,有助于网络安全运维人员制定应对决策、作出前置准备、应对攻击后果、展开响应处置。在面对网空威胁行为体对我国的高级攻击活动中,全面的、高质量的分析报告,亦曾起到过迫使攻击者在一段时间内收敛攻击活动的效果。因此,网络威胁信息发布是网络安全工作中一个非常重要的环节,但也存在着一些“双刃剑”的问题。

内容上来看,部分威胁信息发布,基于攻击者的攻击视角教程化详尽展开,导致成为攻击示范。少数分析中直接包含了原始攻击载荷,可能导致二次扩散和感染的风险。还有的针对具体的信息系统和业务系统漏洞,公开了攻击入口和攻击方法,可能诱发攻击。甚至可能导致产生一些攻击方的自动化攻击手段,可以直接机读导入攻击入口,进行自动化攻击。此次公布的《办法》对类似的情况进行了约束和限制,明确列出威胁信息不得包含的细节内容,意在全面降低威胁信息发布的负面风险。

从威胁信息发布时机和流程上看,如果信息发布从发现、上报到公开没有给原厂商、相关资产管理运维方,以及主管部门、应急响应部门留有足够的处置和协调响应时间,这种不加以约束和限制的发布可能会加剧风险。少数严重漏洞,机理并不复杂,即使没有披露细节,一旦存在线索提示,就很容易被猜测找到。如果不能给原厂商留有足够的制作和发布补丁的时间,不能给主管部门和应急机构留有足够的响应修复的时间,漏洞信息披露就可能产生负面效果。不但没有起到发布信息本身原有的缓解漏洞的初衷,反而还可能加速了漏洞被多方攻击者利用的过程。还有一些设备和系统陈旧的关键信息基础设施,存在一些机理性的漏洞,修复代价成本极大,甚至不全面替换就无法修复,如果此类威胁信息大面积公开,就会触发较为严重的连锁问题。此次公布的《办法》,对威胁信息的发布流程,按照区域、行业领域分门别类予以规范,尤其是兼顾各方合法利益,对涉及具体网络和信息系统存在的风险、脆弱性情况如何发布做出了具体规定,在一定程度上降低了威胁信息发布带来的关联性和次生性灾害的可能性。

从影响方面看,部分安全威胁披露,经过带有商业目的的传播和媒体的炒作后,威胁风险或实际威胁后果被夸大,容易引起无谓的恐慌,加大了社会成本消耗,而且反复下去,容易引发“狼来了”的效应,导致企业和个人对威胁信息的重视程度反而下降。例如早在1992年初,就有类似情况出现,“米开朗基罗”(Michelangelo)病毒开始传播,一家美国公司声称3月6日病毒爆发时,将有超过500万台电脑上的数据被破坏,一时间造成了公众恐慌,但实际上感染“米开朗基罗”病毒的电脑大概只有1万台左右。类似事件影响了公众对威胁信息披露的信任。《办法》对此也做出明确规定,要求发布信息“应坚持客观、真实、审慎、负责的原则,不利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争”。受该原则约束,在发布网络安全威胁信息时,不能使用带倾向性的语言,不能夸大威胁的影响范围、影响程度,不能出于商业竞争目的,发布不利于竞争对手的信息。此外,《办法》还对“预警”一词使用做出了明文规定:“未经政府部门批准和授权,任何企业、社会组织和个人发布网络安全威胁信息时,标题中不得含有‘预警’字样”。这一规定并非不允许各方发布风险提示,而是限定不得随意使用“预警”两字。事实上,网信办早在2017年出台《国家网络安全事件应急预案》文件,已对网络安全事件“预警”的级别、监测、研判、发布和响应做出了明确规定,从中可以看出网络威胁“预警”是一种严肃的国家行政行为,而不应是任何企业、组织和个人可以随意使用甚至用于炒作的概念。

在国家相关部门授权机制下,形成威胁信息发布的规范机制,加强管理,提高网络安全防护水平,是各国的普遍作法。美国已出台了一系列威胁信息披露管理法案,英国也有一整套的“披露漏洞公平裁决策略和流程”。网信办此次出台的《办法》,是希望对威胁信息发布工作形成明确的导向和指引,确保威胁信息发布真实准确,确保信息发布者对内容负责,确保威胁信息发布能达成良好的初衷,保证网络和信息系统的脆弱性得到及时修复,减少发生关联性和次生性灾害的可能性,具有十分重要的现实价值和意义。《办法》在起草过程中,组织了广泛的讨论,对于安全研究者和安全厂商担心的,是否会影响威胁信息发布的及时性、全面性,影响安全研究的积极性以及相关边界难以把握等问题也进行了一定的完善和修订。经过调研、讨论和调整,在总体上兼顾了威胁发布的需求以及潜在风险问题,考虑了多方面意见,从而进入到发布征求意见稿,更广泛征集公开意见阶段,可以获得更多的修订意见和相关的反馈,对于其中可能存在争议点,特别是关于细节披露尺度和时间周期规定的合理性,各方也有机会进行进一步的研讨,从而推动《办法》的进一步完善和细化。同时也需要看到,网络安全威胁信息发布涉及到法律、技术、道德、产业、竞争等诸多方面,相关机制建立很难一蹴而就,还需要在今后实践中进一步细化、磨合与改进。

网络安全威胁信息发布管理办法

(征求意见稿)     

     第一条 为规范网络安全威胁信息发布行为,有效应对网络安全威胁和风险,保障网络运行安全,依据《中华人民共和国网络安全法》等相关法律法规,制定本办法。

  第二条 发布网络安全威胁信息,应以维护网络安全、促进网络安全意识提升、交流网络安全防护技术知识为目的,不得危害国家安全和社会公共利益,不得侵犯公民、法人和其他组织的合法权益。

  第三条 发布网络安全威胁信息,应坚持客观、真实、审慎、负责的原则,不利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争。

  第四条 发布的网络安全威胁信息不得包含下列内容:

  (一)计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法;

  (二)专门用于从事侵入网络、干扰网络正常功能、破坏网络防护措施或窃取网络数据等危害网络活动的程序、工具;

  (三)能够完整复现网络攻击、网络侵入过程的细节信息;

  (四)数据泄露事件中泄露的数据内容本身;

  (五)具体网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息;

  (六)具体网络和信息系统的网络安全风险评估、检测认证报告,安全防护计划和策略方案;

  (七)其他可能被直接用于危害网络正常运行的内容。

  第五条 发布网络和信息系统被攻击破坏、非法侵入等网络安全事件信息前,应向该事件发生所在地地市级以上公安机关报告。各级公安机关应及时将相关情况报同级网信部门和上级公安机关。

  第六条 任何企业、社会组织和个人发布地区性的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向所涉及地区地市级以上网信部门和公安机关报告;

  发布涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向行业主管部门报告;

  发布全国性或跨地区、跨行业领域的综合分析报告时,应事先向国家网信部门和国务院公安部门报告。

  第七条 未经政府部门批准和授权,任何企业、社会组织和个人发布网络安全威胁信息时,标题中不得含有“预警”字样。

  第八条 发布具体网络和信息系统存在风险、脆弱性情况,应事先征求网络和信息系统运营者书面意见,以下情况除外:

  (一)相关风险、脆弱性已被消除或修复;

  (二)已提前30日向网信、电信、公安或相关行业主管部门举报。

  第九条 通过下列平台发布信息的,平台运营者、主办单位接到有关部门通报、用户举报,或自行发现平台上存在违反本办法的发布行为和发布内容的,应当立即停止发布、采取消除等处置措施,防止违规内容扩散,保存有关记录,并向地市级以上网信部门、公安机关报告。

  1.报刊、广播电视、出版物;

  2.互联网站、论坛、博客、微博、公众账号、即时通信工具、互联网直播、互联网视听节目、应用程序、网络硬盘等;

  3.公开举行的会议、论坛、讲座;

  4.公开举办的网络安全竞赛;

  5.其他公共平台。

  第十条 违反本办法规定发布网络安全威胁信息的,由网信部门、公安机关根据《中华人民共和国网络安全法》的规定予以处理。

  第十一条 涉及国家秘密、涉密网络的网络安全威胁信息发布活动,按照国家有关规定执行。

  第十二条 本办法所称网络安全威胁信息,包括:

  (一)对可能威胁网络正常运行的行为,用于描述其意图、方法、工具、过程、结果等的信息。如:计算机病毒、网络攻击、网络侵入、网络安全事件等。

  (二)可能暴露网络脆弱性的信息。如:系统漏洞,网络和信息系统存在风险、脆弱性的情况,网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息,网络安全风险评估、检测认证报告,安全防护计划和策略方案等。

  第十三条 本办法自发布之日起实施。

转载文章:文章版权归作者所有。